Penting bagi perusahaan Anda untuk mematuhi GDPR karena sekarang semua orang akan bertanggung jawab saat mengumpulkan dan menggunakan data pribadi. Tentu saja, langkah-langkah GDPR untuk UKM (usaha kecil dan menengah) bisa sedikit berbeda dari apa yang dilakukan oleh perusahaan besar.
Langkah demi Langkah untuk Mematuhi GDPR bagi UKM
Pahami GDPR meskipun perusahaan Anda berukuran sedang atau kecil
GDPR dibuat oleh dewan dan parlemen sebagai peraturan yang mirip dengan hukum nasional. Jadi, penting bagi Anda untuk mengetahui metode yang dapat Anda gunakan untuk mematuhi GDPR. Meskipun perusahaan Anda berukuran sedang atau kecil, peraturan ini tetap berlaku untuk Anda.
Anda perlu melakukan penilaian yang memungkinkan perusahaan Anda mengidentifikasi proses yang memiliki risiko tinggi. Kemudian Anda perlu menganalisisnya lebih lanjut agar Anda dapat mempersiapkan semua sumber daya yang dibutuhkan untuk menerapkan GDPR di perusahaan Anda.
Buat dokumentasi untuk semua data pribadi yang dikumpulkan perusahaan Anda
GDPR menyatakan bahwa Anda perlu membuat catatan tentang semua aktivitas pemrosesan yang dikumpulkan oleh perusahaan Anda. Peraturan ini mencakup UKM sehingga Anda harus membuat catatan.
Untuk melakukannya, pertama-tama Anda perlu membuat dokumentasi untuk semua data yang dikumpulkan perusahaan Anda. Ini harus menunjukkan sumber dari mana data berasal, bagaimana perusahaan Anda menggunakan data tersebut ketika data tersebut merujuk pada orang yang dapat diidentifikasi.
Jangan lupa bahwa Anda juga harus menyerahkan laporan RPA dengan data terbaru kepada atasan yang berwenang kapan pun diminta. Oleh karena itu, penting untuk membuat dokumen ini karena langkah-langkah yang diperlukan untuk membuatnya juga membantu perusahaan Anda untuk mengevaluasi semua proses serta membantu untuk mengetahui titik di mana koreksi perlu diterapkan.
Kirim pemberitahuan privasi untuk menginformasikan semua pihak terkait
Mengirimkan pemberitahuan untuk memberi tahu individu yang datanya dikumpulkan oleh perusahaan Anda adalah hal yang penting untuk mematuhi GDPR bagi perusahaan kecil dan menengah. Anda harus memberi tahu mereka jenis data yang Anda kumpulkan, metode untuk mengumpulkan data, alasan mengapa Anda mengumpulkan data, dan apakah data tersebut ditransfer ke negara lain.
Periksa apakah pemrosesan data yang dilakukan sesuai dengan hak-hak individu
Setelah Anda memiliki semua data yang didokumentasikan, maka Anda perlu meninjau prosedur yang Anda gunakan pada data pribadi secara legal. Anda perlu mencari tahu apakah prosedur tersebut mematuhi GDPR.
Jika terlalu rumit, maka Anda perlu menyewa pengacara untuk memeriksanya untuk Anda. Terutama karena kegiatan pemrosesan yang dilakukan menggunakan data pribadi dapat memengaruhi hak-hak individu. Jadi, kegiatan pengolahan harus selalu dibenarkan menurut hukum dan peraturan.
Baca selengkapnya: Apa itu GDPR: Panduan Komprehensif Untuk Perlindungan Data
Mendapatkan persetujuan
Proses ini dapat dibenarkan dengan mendapatkan persetujuan yang juga dianggap sebagai perlindungan data yang penting. Itulah mengapa Anda perlu meninjau metode yang Anda gunakan untuk mengelola, merekam, dan meminta persetujuan.
Anda juga perlu memastikan bahwa semuanya harus sesuai dengan standar GDPR untuk perusahaan kecil dan menengah. Oleh karena itu, penting untuk melakukan peninjauan berkala dan memperbarui semua persetujuan. Anda juga harus menggunakan tata bahasa dan konten yang mudah dipahami untuk persetujuan. Jadi, semua orang dapat memahami bahasa yang Anda gunakan untuk mendefinisikan persetujuan seperti yang diminta oleh GDPR.
Rencanakan cara menangani permintaan akses subjek
Penting bagi perusahaan untuk memperbarui semua prosedur permintaan terkait akses subjek. Anda juga harus membuat rencana yang akan digunakan untuk menangani permintaan tersebut seperti yang dinyatakan dalam aturan GDPR.
Sebagian besar waktu, Anda tidak akan dapat mengubah permintaan. Namun, Anda masih memiliki waktu satu bulan untuk memenuhi permintaan tersebut. Anda diizinkan untuk menagih atau menolak permintaan yang berlebihan.
Namun, Anda harus memberikan data mereka yang dibuat menggunakan format yang dapat dibaca mesin. Ketika Anda menolak permintaan mereka, maka Anda harus memberikan alasan mengapa Anda menolaknya.
Anda juga perlu memberi tahu mereka bahwa mereka dapat mengajukan keluhan secara langsung kepada otoritas pengawas serta upaya hukum. Ingatlah bahwa semua ini harus dilakukan tanpa penundaan dalam jangka waktu satu bulan.
Meninjau kontrak pemrosesan outsourcing
Jika perusahaan tidak memproses data sendiri dan menggunakan perusahaan outsourcing sebagai pemroses data, maka Anda perlu meninjau kembali kontrak Anda. Anda perlu memastikan bahwa prosedur pemrosesan data yang dilakukan oleh perusahaan outsourcing juga mematuhi GDPR untuk perusahaan kecil dan menengah.
Hal pertama yang perlu Anda lakukan adalah benar-benar memiliki kontrak karena terkadang tidak disediakan untuk Anda jika Anda menggunakan layanan cloud yang gratis. Jadi, Anda perlu menemukan cara untuk mendapatkan kontrak.
Terutama karena Anda harus memberikan kontrak kepada otoritas pengawas ketika mereka memintanya. Kemudian Anda perlu meninjau apakah kontak tersebut juga mematuhi GDPR untuk perusahaan kecil dan menengah. Sangat mungkin bahwa kontrak tersebut memerlukan beberapa penyesuaian untuk mematuhi GDPR.
Menunjuk DPO untuk mengurus kepatuhan terhadap GDPR
Sebagian besar perusahaan perlu menunjuk DPO yang akan bertanggung jawab untuk mengurus kepatuhan GDPR. Meskipun ada persyaratan khusus bagi perusahaan untuk memiliki DPO wajib, namun tetap merupakan ide yang baik bagi UKM untuk memiliki seseorang dengan peran ini.
Jadi, meskipun perusahaan Anda tidak secara langsung memiliki persyaratan ini, Anda tetap harus memiliki petugas tersebut. Terutama jika perusahaan Anda memproses data dengan kategori khusus, misalnya data kesehatan, maka akan lebih baik untuk memiliki petugas eksternal atau DPO internal meskipun mereka bekerja paruh waktu.
Petugas akan memberikan laporan mereka hanya kepada posisi tertinggi di perusahaan Anda. Mereka juga harus bekerja untuk memastikan bahwa perusahaan akan mengikuti semua langkah yang diperlukan sehingga informasi dan prosesnya dilakukan sesuai dengan peraturan GDPR untuk perusahaan kecil dan menengah.
DPO virtual adalah opsi lain yang dapat digunakan perusahaan untuk mematuhi GDPR. Beberapa perusahaan memilih opsi ini karena biayanya lebih murah dan dapat membantu perusahaan mengurangi jam kerja hingga 75%.
Mengevaluasi aktivitas pemrosesan data
Penting bagi perusahaan untuk menganalisis semua risiko yang dapat memengaruhi subjek data. Dan untuk melakukannya, Anda perlu mengevaluasi semua jenis aktivitas pemrosesan data secara mendalam untuk memahami setiap detailnya.
Hal ini termasuk menganalisis semua perangkat lunak yang digunakan oleh perusahaan, semua aktivitas yang dilakukan serta semua tindakan yang diambil yang semuanya harus dilindungi oleh desain. Hal ini diperlukan karena dapat membantu memastikan tidak ada kerentanan dan pelanggaran terhadap keamanan data. Hal ini juga membantu memastikan bahwa tidak ada kerugian yang terjadi pada hak-hak subjek data.
Ketika data dan aktivitas pengolahannya rentan dan memiliki risiko tinggi maka Anda perlu melakukan penilaian dampak. Penilaian ini dilakukan agar Anda dapat mengevaluasi langkah-langkah yang dapat diambil untuk meminimalkan risiko dan melawan risiko yang tepat.
Untuk menambah keamanan data pribadi, Anda dapat menerapkan minimalisasi data pribadi yang dikumpulkan, pseudonimisasi, serta penghapusan data sesuai dengan tenggat waktu yang tertera dalam persetujuan. Anda juga harus memberikan akses kepada subjek data ke data mereka.
Menangani pelanggaran data serta mengirimkan pemberitahuan yang diperlukan
Perusahaan harus memiliki prosedur internal yang dapat digunakan untuk menangani pelanggaran data untuk mematuhi GDPR bagi perusahaan kecil dan menengah. Anda juga harus memastikan bahwa perusahaan outsourcing yang Anda gunakan juga menerapkan prosedur yang sama.
Prosedur yang diambil harus mencakup identifikasi pelanggaran data yang sebenarnya, menyelidiki keadaan pelanggaran serta menilai implikasi yang mungkin terjadi pada perusahaan maupun privasi subjek data.
Selain melakukan semua prosedur tersebut, perusahaan Anda juga harus mengirimkan notifikasi mengenai pelanggaran tersebut kepada pihak yang berwenang. Pemberitahuan harus dikirim dalam waktu 72 jam tanpa penundaan setelah pelanggaran teridentifikasi.
Jika ada penundaan di luar jangka waktu yang disyaratkan, maka pada pemberitahuan yang dikirim ke otoritas pengawas, Anda juga harus menyertakan alasan penundaan tersebut. Di pantai yang dapat mengekspos subjek data terhadap risiko privasi, maka Anda juga diwajibkan untuk memberi tahu subjek data.
Bagaimana Cara Mengetahui Apakah Peraturan tersebut Juga Berlaku untuk Perusahaan Anda?
Peraturan GDPR sebenarnya tidak bergantung pada ukuran perusahaan Anda karena peraturan ini dibuat untuk diterapkan pada semua perusahaan dengan berbagai ukuran. Jika ada aktivitas yang berisiko tinggi terhadap kebebasan dan hak-hak subjek data, maka aturan Stricker pun dapat diterapkan, terlepas dari apakah perusahaan Anda perusahaan besar atau UKM.
Namun, jika perusahaan Anda memiliki kurang dari 250 karyawan, maka Anda tidak perlu menyimpan catatan aktivitas pemrosesan kecuali jika pemrosesan data pribadi merupakan aktivitas rutin yang berisiko tinggi terhadap kebebasan dan hak-hak subjek data atau jika melibatkan catatan kriminal dan data sensitif.
Kesimpulan
Meskipun GDPR untuk perusahaan kecil dan menengah mungkin tidak diwajibkan untuk perusahaan Anda, tetap penting untuk mematuhi peraturan tersebut. Terutama karena GDPR dirancang untuk membantu Anda melindungi data pribadi yang merupakan sesuatu yang diharapkan oleh pelanggan Anda. Dengan demikian, Anda dapat mencoba mengikuti langkah-langkah yang kami sediakan di sini untuk membantu Anda menavigasi dengan peraturan GDPR.
Deskripsi: Panduan ini dirancang untuk membantu perusahaan kecil dan menengah menavigasi peraturan GDPR yang kompleks dan melindungi data pelanggan mereka.
Tags: GDPR untuk perusahaan kecil dan menengah, regulasi GDPR untuk perusahaan kecil dan menengah, praktik terbaik GDPR untuk perusahaan kecil dan menengah, tips GDPR untuk perusahaan kecil dan menengah, menavigasi GDPR untuk perusahaan kecil dan menengah,